Condividi tramite


Operazioni per la sicurezza di Microsoft Entra per Privileged Identity Management

La sicurezza degli asset aziendali dipende dall'integrità degli account con privilegi usati per amministrare i sistemi IT. Gli utenti malintenzionati prendono di mira gli account amministratore e altri tipi di accesso privilegiato per provare ad accedere ai dati sensibili usando attacchi con furto di credenziali.

Per i servizi cloud, prevenzione e risposta sono responsabilità comuni del provider di servizi cloud e del cliente.

Tradizionalmente la sicurezza aziendale si concentrava sui punti di ingresso e di uscita di una rete visti come perimetro di sicurezza. Tuttavia, le app SaaS e i dispositivi personali hanno reso questo approccio meno efficace. In Microsoft Entra ID sostituire il perimetro di sicurezza di rete con l'autenticazione nel livello di identità dell'organizzazione. Quando gli utenti vengono assegnati ai ruoli amministrativi con privilegi, l'accesso deve essere protetto in ambienti locali, cloud e ibridi.

L'utente è interamente responsabile di tutti i livelli di sicurezza per l'ambiente IT locale. Quando si usano i servizi cloud di Azure, la prevenzione e la risposta sono responsabilità comuni di Microsoft come provider di servizi cloud e come cliente.

Privileged Identity Management (PIM) è un servizio di Microsoft Entra che permette di gestire, controllare e monitorare l'accesso a risorse importanti nell'organizzazione. Tali risorse includono quelle in Microsoft Entra ID, Azure e altri servizi Microsoft online, come ad esempio Microsoft 365 o Microsoft Intune. È possibile usare PIM per contribuire a ridurre i rischi seguenti:

  • Identificare e ridurre al minimo il numero di utenti che hanno accesso a informazioni e risorse protette.

  • Rilevare autorizzazioni di accesso eccessive, non necessarie o improprie per le risorse sensibili.

  • Ridurre le probabilità che un attore malintenzionato ottenga l'accesso a informazioni o risorse protette.

  • Ridurre la possibilità che un utente non autorizzato influisca inavvertitamente sulle risorse sensibili.

Usare questo articolo fornisce indicazioni per impostare linee di base, accessi di controllo e utilizzo degli account con privilegi. Usare l'origine del log di audit di origine per contribuire a mantenere l'integrità dell'account con privilegi.

Dove cercare

I file di log da usare per l'indagine e il monitoraggio sono:

Nel portale di Azure visualizzare i log di audit di Microsoft Entra e scaricarli come file con valori delimitati da virgole (CSV) o JSON (JavaScript Object Notation). Il portale di Azure offre diversi modi per integrare i log di Microsoft Entra con altri strumenti per automatizzare il monitoraggio e gli avvisi:

  • Microsoft Sentinel: consente l'analisi intelligente della sicurezza a livello aziendale fornendo funzionalità SIEM (Security Information and Event Management, gestione degli eventi e delle informazioni di sicurezza).

  • Regole Sigma: Sigma è uno standard aperto in evoluzione per la scrittura di regole e modelli che gli strumenti di gestione automatizzata possono usare per analizzare i file di log. Se sono presenti modelli Sigma per i criteri di ricerca consigliati, è stato aggiunto un link al repository Sigma. I modelli Sigma non vengono scritti, testati e gestiti da Microsoft. Il repository e i modelli vengono creati e raccolti dalla community di sicurezza IT mondiale.

  • Monitoraggio di Azure: consente il monitoraggio e la creazione di avvisi automatizzati per varie condizioni. Può creare o usare cartelle di lavoro per combinare i dati di origini diverse.

  • Hub eventi di Azure integrato con un sistema SIEM- Microsoft Entra è possibile integrare i log di Microsoft Entra con altri SIEM come Splunk, ArcSight, QRadar e Sumo Logic mediante l'integrazione con Hub eventi di Azure.

  • Microsoft Defender for Cloud Apps: consente di individuare e gestire le app, regolamentare le app e le risorse e verificare la conformità delle app cloud.

  • Protezione delle identità dei carichi di lavoro con Microsoft Entra ID Protection: consente di rilevare i rischi per le identità dei carichi di lavoro attraverso il comportamento di accesso e gli indicatori offline di compromissione.

Nella parte restante di questo articolo sono disponibili raccomandazioni per impostare una baseline su cui monitorare e inviare avvisi, con un modello di livello. I collegamenti alle soluzioni predefinite vengono visualizzati dopo la tabella. È possibile creare avvisi usando gli strumenti precedenti. Il contenuto è organizzato nelle aree seguenti:

  • Basi di riferimento

  • Assegnazione di ruolo Microsoft Entra

  • Impostazioni di avviso del ruolo Microsoft Entra

  • Assegnazione di ruolo delle risorse di Azure

  • Gestione degli accessi per le risorse di Azure

  • Accesso con privilegi elevati per gestire le sottoscrizioni di Azure

Basi di riferimento

Di seguito sono riportate le impostazioni di base consigliate:

Cosa monitorare Livello di rischio Elemento consigliato Ruoli Note
Assegnazione di ruolo di Microsoft Entra Alto Richiedere la giustificazione all'attivazione. Richiedi l'approvazione per l'attivazione. Impostare il processo di approvazione a due livelli. All'attivazione, richiedere l'autenticazione a più fattori di Microsoft Entra. Impostare la durata massima dell'elevazione su 8 ore. Amministratore della sicurezza, Amministratore ruolo con privilegi, Amministratore globale Un amministratore di ruoli con privilegi può personalizzare PIM nell'organizzazione Microsoft Entra, inclusa la modifica dell'esperienza per gli utenti che attivano un'assegnazione di ruolo idonea.
Configurazione del ruolo delle risorse di Azure Alto Richiedere la giustificazione all'attivazione. Richiedi l'approvazione per l'attivazione. Impostare il processo di approvazione a due livelli. All'attivazione, richiedere l'autenticazione a più fattori di Microsoft Entra. Impostare la durata massima dell'elevazione su 8 ore. Proprietario, amministratore accesso utente Investigare immediatamente se non è stata apportata una modifica pianificata. Questa impostazione potrebbe consentire agli utenti malintenzionati di accedere alle sottoscrizioni di Azure nell'ambiente in uso.

Avvisi di Privileged Identity Management

Azure AD Privileged Identity Management (PIM) genera avvisi quando si verificano attività sospette o non sicure in Microsoft Entra. Quando viene generato un avviso, viene visualizzato nel dashboard Privileged Identity Management. È anche possibile configurare una notifica tramite e-mail o inviare al sistema SIEM tramite GraphAPI. Poiché questi avvisi si concentrano in modo specifico sui ruoli amministrativi, è consigliabile monitorare attentamente gli avvisi.

Cosa monitorare Livello di rischio Dove UX filtro/filtro secondario Note
I ruoli vengono assegnati all'esterno di Azure AD Privileged Identity Management Alto Privileged Identity Management, avvisi I ruoli vengono assegnati all'esterno di Azure AD Privileged Identity Management Come configurare gli avvisi di sicurezza
Regole Sigma
Possibili account non aggiornati in un ruolo con privilegi Medio Privileged Identity Management, avvisi Possibili account non aggiornati in un ruolo con privilegi Come configurare gli avvisi di sicurezza
Regole Sigma
Gli amministratori non usano i ruoli con privilegi Basso Privileged Identity Management, avvisi Gli amministratori non usano i ruoli con privilegi Come configurare gli avvisi di sicurezza
Regole Sigma
I ruoli non richiedono l'autenticazione a più fattori per l'attivazione Basso Privileged Identity Management, avvisi I ruoli non richiedono l'autenticazione a più fattori per l'attivazione Come configurare gli avvisi di sicurezza
Regole Sigma
L'organizzazione non ha Microsoft Entra ID P2 o Microsoft Entra ID Governance Basso Privileged Identity Management, avvisi L'organizzazione non ha Microsoft Entra ID P2 o Microsoft Entra ID Governance Come configurare gli avvisi di sicurezza
Regole Sigma
Il numero di amministratori globali presenti è eccessivo Basso Privileged Identity Management, avvisi Il numero di amministratori globali presenti è eccessivo Come configurare gli avvisi di sicurezza
Regole Sigma
I ruoli vengono attivati con una frequenza eccessiva Basso Privileged Identity Management, avvisi I ruoli vengono attivati con una frequenza eccessiva Come configurare gli avvisi di sicurezza
Regole Sigma

Assegnazione di ruolo di Microsoft Entra

Un amministratore del ruolo con privilegi può personalizzare PIM nell'organizzazione Microsoft Entra, che include la modifica dell'esperienza utente dell'attivazione di un'assegnazione di ruolo idonea:

  • Impedire agli attori non validi di rimuovere i requisiti di autenticazione a più fattori di Microsoft Entra per attivare l'accesso privilegiato.

  • Impedire agli utenti malintenzionati di ignorare la giustificazione e l'approvazione dell'attivazione dell'accesso privilegiato.

Cosa monitorare Livello di rischio Dove Filtro/Filtro secondario Note
Avviso per l'aggiunta di modifiche alle autorizzazioni dell'account con privilegi Alto Log di controllo di Microsoft Entra Categoria = Gestione dei ruoli
-e-
Tipo di attività: aggiungere un membro idoneo (permanente)
-e-
Tipo di attività: aggiungere un membro idoneo (idoneo)
-e-
Stato = Esito positivo/negativo
-e-
Proprietà modificate = Role.DisplayName
Monitorare e avvisare sempre in merito alle modifiche apportate a Amministratore ruolo con privilegi e Amministratore globale. Può essere un'indicazione che un utente malintenzionato sta tentando di ottenere i privilegi per modificare le impostazioni di assegnazione di ruolo. Se non si ha una soglia definita, avvisare su 4 in 60 minuti per gli utenti e 2 in 60 minuti per gli account con privilegi.

Regole Sigma
Avviso per l'eliminazione in blocco delle modifiche apportate alle autorizzazioni dell'account con privilegi Alto Log di controllo di Microsoft Entra Categoria = Gestione dei ruoli
-e-
Tipo di attività: rimuovere un membro idoneo (permanente)
-e-
Tipo di attività: rimuovere un membro idoneo (idoneo)
-e-
Stato = Esito positivo/negativo
-e-
Proprietà modificate = Role.DisplayName
Investigare immediatamente se non è stata apportata una modifica pianificata. Questa impostazione potrebbe consentire a un utente malintenzionato di accedere alle sottoscrizioni di Azure nell'ambiente in uso.
Modello di Microsoft Sentinel

Regole Sigma
Modifiche alle impostazioni di PIM Alto Log di audit di Microsoft Entra Servizio = PIM
-e-
Categoria = Gestione dei ruoli
-e-
Tipo di attività = Aggiornare l'impostazione del ruolo in PIM
-e-
Motivo dello stato = MFA all’attivazione disabilitata (esempio)
Monitorare e avvisare sempre in merito alle modifiche apportate a Amministratore ruolo con privilegi e Amministratore globale. Può essere un'indicazione che un utente malintenzionato può accedere per modificare le impostazioni di assegnazione di ruolo. Una di queste azioni potrebbe ridurre la sicurezza dell'elevazione di PIM e semplificare l'acquisizione di un account con privilegi da parte degli utenti malintenzionati.
Modello di Microsoft Sentinel

Regole Sigma
Approvazioni e elevazione dei privilegi di rifiuto Alto Log di audit di Microsoft Entra Servizio = Revisione degli accessi
-e-
Categoria = UserManagement
-e-
Tipo di attività = Richiesta approvata/negata
-e-
Attore avviato = UPN
Tutte le elevazioni devono essere monitorate. Registrare tutte le elevazioni per fornire un'indicazione chiara della sequenza temporale per un attacco.
Modello di Microsoft Sentinel

Regole Sigma
L'impostazione dell'avviso cambia in disabilitata. Alto Log di controllo di Microsoft Entra Servizio = PIM
-e-
Categoria = Gestione dei ruoli
-e-
Tipo di attività = Disabilita avviso PIM
-e-
Stato = Esito positivo/negativo
Avvisare sempre. Consente di rilevare gli avvisi non validi associati ai requisiti di autenticazione a più fattori di Microsoft Entra per attivare l'accesso privilegiato. Consente di rilevare attività sospette o non sicure.
Modello di Microsoft Sentinel

Regole Sigma

Per altre informazioni sull'identificazione delle modifiche delle impostazioni dei ruoli nel log di audit di Microsoft Entra, vedere Visualizzare la cronologia degli audit per i ruoli di Microsoft Entra in Privileged Identity Management.

Assegnazione di ruolo delle risorse di Azure

Il monitoraggio delle assegnazioni di ruolo delle risorse di Azure consente la visibilità delle attività e delle attivazioni per i ruoli delle risorse. Queste assegnazioni potrebbero essere usate in modo improprio per creare una superficie di attacco a una risorsa. Quando si monitora questo tipo di attività, si sta provando a rilevare:

  • Eseguire query sulle assegnazioni di ruolo in risorse specifiche

  • Assegnazioni di ruolo per tutte le risorse figlio

  • Tutte le modifiche all'assegnazione di ruolo attiva e idonea

Cosa monitorare Livello di rischio Dove Filtro/Filtro secondario Note
Controllare il log di audit delle risorse degli avvisi per le attività dell'account con privilegi Alto In PIM, in Risorse di Azure, Controllo risorse Azione: aggiungere un membro idoneo al ruolo in PIM è stata completata (con limite di tempo)
-e-
Destinazione primaria
-e-
Digitare Utente
-e-
Stato = Esito positivo
Avvisare sempre. Consente di rilevare l'aggiunta di ruoli idonei per l'aggiunta di ruoli idonei per gestire tutte le risorse in Azure.
Verifica risorsa avviso - Verifica per la disattivazione dell’avviso Medio In PIM, in Risorse di Azure, Controllo risorse Azione: disabilitare l’avviso
-e-
Destinazione primaria: troppi proprietari assegnati a una risorsa
-e-
Stato = Esito positivo
Consente di rilevare un attore non valido che disabilita gli avvisi, nel riquadro Avvisi, che può ignorare le attività dannose analizzate
Verifica risorsa avviso - Verifica per la disattivazione dell’avviso Medio In PIM, in Risorse di Azure, Controllo risorse Azione: disabilitare l’avviso
-e-
Target primario: troppi proprietari permanenti assegnati a una risorsa
-e-
Stato = Esito positivo
Impedire all'attore non valido di disabilitare gli avvisi, nel riquadro Avvisi, che può ignorare l'analisi delle attività dannose
Verifica risorsa avviso - Verifica per la disattivazione dell’avviso Medio In PIM, in Risorse di Azure, Controllo risorse Azione: disabilitare l’avviso
-e-
Ruolo duplicato di destinazione primario creato
-e-
Stato = Esito positivo
Impedire all'attore non valido di disabilitare gli avvisi dal riquadro Avvisi, che può ignorare le attività dannose da analizzare

Per altre informazioni sulla configurazione degli avvisi e sul controllo dei ruoli delle risorse di Azure, vedere:

Gestione degli accessi per le risorse e le sottoscrizioni di Azure

Gli utenti o i membri di un gruppo assegnati ai ruoli di sottoscrizione Proprietario o Amministratore accessi utenti e gli Amministratori globali di Microsoft Entra che abilitano la gestione delle sottoscrizioni in Microsoft Entra ID dispongono delle autorizzazioni di amministratore delle risorse per impostazione predefinita. Gli amministratori assegnano ruoli, configurano le impostazioni dei ruoli ed esaminano l'accesso usando Azure AD Privileged Identity Management (PIM) per le risorse di Azure.

Un utente con autorizzazioni di amministratore risorse può gestire PIM per le risorse. Monitorare e attenuare questo rischio introdotto: la funzionalità può essere usata per consentire agli attori malintenzionati l'accesso privilegiato alle risorse della sottoscrizione di Azure, ad esempio macchine virtuali (VM) o account di archiviazione.

Cosa monitorare Livello di rischio Dove Filtro/Filtro secondario Note
Altitudini Alto MICROSOFT Entra ID, in Gestisci, Proprietà Rivedere periodicamente l'impostazione.
Gestione degli accessi per le risorse di Azure
Gli amministratori globali possono elevare i privilegi abilitando la gestione degli accessi per le risorse di Azure.
Verificare che non siano state ottenute autorizzazioni per assegnare ruoli in tutte le sottoscrizioni e i gruppi di gestione di Azure associati ad Active Directory.

Per altre informazioni vedere Assegnare i ruoli delle risorse di Azure in Azure AD Privileged Identity Management

Passaggi successivi

Panoramica delle operazioni per la sicurezza di Microsoft Entra

Operazioni per la sicurezza per gli account utente

Operazioni per la sicurezza per gli account consumer

Operazioni per la sicurezza per gli account con privilegi

Operazioni per la sicurezza per le applicazioni

Operazioni per la sicurezza per i dispositivi

Operazioni per la sicurezza per l'infrastruttura